代码拉取完成,页面将自动刷新
您好: 我是360代码卫士团队的工作人员,在我们的开源项目检测中发现arthas中存在路径遍历缺陷。应用程序通过Web请求获取不可信赖的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了Web用户,应用程序将易于受到反射型XSS攻击。
yaycrawler.admin.controller.TaskController.java
上传文件将处理后的文件结果返回给页面,当上传文件中包含了恶意代码,web浏览器解析结果内容时将会正常解析恶意代码,导致应用程序收到反射型xss攻击。
(1)对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如<、>、'、"以及<script>、javascript等进行过滤。
(2)根据数据将要置于HTML上下文中的不同位置(HTML标签、HTML属性、JavaScript脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。
(3)设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。